Según el último informe La investigación de ESG (Grupo de Estrategia Enterprise) y la Asociación de Seguridad del Sistema de Información Internacional (ISSA), el 57 % de las empresas afirman haber sido afectados por la escasez global de habilidades de ciberseguridad, mientras que el 44 % de ellas piensa que esta tensión ha empeorado en los últimos años. El resultado? La carga de trabajo de los aumentos existentes del personal de ciberseguridad, las solicitudes de empleo están abiertas durante semanas o meses, y las tasas de agotamiento y deserción son altas para estos profesionales.

Índice
  1. Muchas posiciones de ciberseguridad en subeficiente
  2. Por qué un atrevido a medio mástil empeorará la escasez de habilidades de ciberseguridad

Muchas posiciones de ciberseguridad en subeficiente

Según el estudio, varias profesiones demuestran ser las más subeficaces. Entonces :

- El 37 % de las empresas carecen de arquitectos de seguridad. Esta escasez es aguda en dos áreas: las dedicadas a la nube y aquellos que se centran en la integración de TI, a saber, la consolidación de varias tecnologías en una arquitectura de plataforma coherente;

- El 35 % de las empresas carecen de ingenieros de seguridad. Estas son las personas que instalan, configuran y mantienen los diversos ladrillos protectores. Por lo tanto, la falta de estos talentos es equivalente al uso subóptimo de tecnologías de seguridad. ESG también señala una creciente demanda de personas calificadas en ingeniería de detección (es decir, la detección de código AS, la creación de reglas Sigma/Yara, etc.). Por lo tanto, la proliferación de proveedores como Anvilógico, Cardinops y SOC Prime tiene como objetivo llenar el vacío de la ingeniería de detección;

- El 34 % de los encuestados carecen de analistas de SOC de nivel 3. Son las personas más experimentadas que reciben escaladas/investigaciones difíciles y a menudo son responsables de la caza proactiva de amenazas. En lugar de los analistas de nivel 3, las empresas no tienen más remedio que pedirle a los generalistas que realicen trabajos especializados;

- El 33 % de los encuestados carecen de analistas en la gestión de vulnerabilidad. Una escasez en esta área conduce a un aumento en el riesgo cibernético porque los activos de TI permanecen sin estar ubicados, mal configurados y vulnerables;

- El 31 % de las organizaciones carecen de RSSI, CISO u otros puestos de gestión en el campo de la ciberseguridad. Esta escasez significa que muchas estructuras ejecutan programas de seguridad sin el liderazgo necesario para identificar el riesgo cibernético, administrar un programa de seguridad corporativa y trabajar con la gerencia para alinear la seguridad en la empresa.

Por qué un atrevido a medio mástil empeorará la escasez de habilidades de ciberseguridad

La escasez de habilidades de ciberseguridad ha estado llegando a empresas durante años. Pero aparece un nuevo fenómeno: el estado actual de la economía. Durante los próximos 12-18 meses, los riesgos de la recesión exacerbarán el impacto de esta tensión. ¿Qué recordar de esta situación?

En primer lugar, los profesionales de ciberseguridad serán más selectivos en términos de investigación de empleo. En los últimos 10 años, a estos últimos se les ha ofrecido una remuneración generosa, a menudo vinculada a las opciones de compra de compartir. Ahora que los mercados están disminuyendo y las OPI escasas que los candidatos eviten las acciones y apreciarán mejor el dinero timbre y tropezante. Más allá de esta compensación solo, las incertidumbres económicas tienden a conducir a un comportamiento más de riesgo. Es probable que los expertos se retiren, adopten un enfoque cauteloso para el progresión profesional y esperen a que el clima comercial se estabilice.

Luego, el uso creciente de los servicios de seguridad agotará el grupo de talentos. Solo tiene que analizar la investigación actual para ver que cada vez más empresas recurren a los servicios administrados para admitir personal de seguridad interna sobrecargada y bajo calificado. Un ejemplo? Un estudio reciente de ESG sobre operaciones de seguridad indica que el 85 % de las estructuras usan el servicio de detección y respuesta en modo administrado (MDR), y el 88 % planea aumentar su uso de estos servicios en el futuro. A medida que este modelo continúa, los proveedores de servicios en esta área (MSSP) deben aumentar su fuerza laboral para gestionar la creciente demanda. Dado que los modelos económicos de estas empresas se basan en la escala de las operaciones gracias a la automatización, calcularán un mayor rendimiento de la productividad de los empleados y estarán dispuestos a ofrecer una remuneración más generosa que las empresas. Una compañía agresiva de servicios de seguridad en un pueblo pequeño podría obtener fácilmente un cuasi-monopolio de los talentos locales. En términos de gestión, también veremos una creciente demanda de servicios virtuales de CISO (VCISO) para crear y administrar programas de seguridad a corto plazo.

Finalmente, la congelación de los empleados será un obstáculo. En tiempos de desaceleración económica, las empresas a menudo toman decisiones generales draconianas, como reducir la capacitación, reducir la fuerza laboral o congelar a todos los nuevos empleados. Cuando esto sucede, el RSSI debe luchar con RRHH por cada contratación individual necesaria, frenando el proceso de reclutamiento y obligando a las organizaciones a administrar la seguridad a pesar de la falta de personal o habilidades esenciales.

Por lo tanto, el riesgo de recesión levanta el trabajo de la RSSI, en particular aquellos que ya se enfrentan a problemas de personal de seguridad y habilidades. ¿Qué pueden hacer? Aumente sus presupuestos de capacitación, fortalezca sus compromisos con los empleados clave, trabajen con proveedores para aprovechar al máximo sus productos y completar el personal con los proveedores de servicios. Un programa bien cargado para los próximos meses y años ...